Что понимается под политикой информационной безопасности? Не вдаваясь в подробности, можно сказать, что политика информационной безопасности предприятия – это набор правил и норм, действующих на предприятии с целью обеспечения безопасности информационных систем и защиты информации от несанкционированного доступа.
Правила политики информационной безопасности являются обязательными для всех сотрудников предприятия. Нарушение этих правил любым сотрудником может нивелировать все усилия по защите информации, что неминуемо повлечет за собой финансовые убытки для всего предприятия в целом. Вот почему разработка политики информационной безопасности подразумевает, в том числе, и разработку методов контроля за соблюдением установленных требований сотрудниками предприятия.
Хотя некоторые аспекты концепции информационной безопасности являются общими для всех предприятий, политика информационной безопасности формируется каждым предприятием по-своему.
Разработка политики информационной безопасности предприятия предполагает обязательный анализ существующих рисков и оценку вероятности реализации каждого из возможных рисков. В соответствии с методикой управления рисками, риски должны быть ранжированы по степени критичности потенциальных угроз для конкретного предприятия. Следует выявить наиболее опасные угрозы с высокой вероятностью возникновения и в первую очередь блокировать именно эти угрозы.
Следует провести финансовый расчет необходимых вложений для обеспечения безопасности и соотнести расходы на обеспечение безопасности с величиной возможного ущерба при реализации риска. При этом следует учитывать и вероятность возникновения риска. Иными словами, принимаемые меры по защите информации должны быть экономически оправданы.
Если говорить о дипломном проектировании, то разработка политики информационной безопасности целого предприятия – очень сложная задача, которую невозможно решить усилиями одного человека. Поэтому тема диплома должна быть конкретизирована. Например, можно поставить перед выпускником задачу разработки автоматизированной системы контроля, которая будет осуществлять контроль соблюдения сотрудниками предприятия требований политики информационной безопасности.
Также практический интерес представляет задача количественной оценки текущего уровня информационной безопасности. Такая работа может быть выполнена и как исследовательская.